Pracownik biurowy a bezpieczeństwo danych firmy

Przeczytaj także: Ochrona danych firmy: istotne szyfrowanie

Fizyczne zabezpieczenia dostępu nie zawsze są wystarczające, by zagwarantować dostęp wyłącznie uprawnionych osób do pomieszczeń organizacji. Co więcej, nawet jeśli fizyczna kontrola dostępu działa bez zarzutu, niekoniecznie wszyscy uprawnieni do przebywania w budynku powinni mieć dostęp do danych w systemach komputerowych. Minimalizacja zagrożenia wymaga połączenia zabezpieczeń fizycznych z logiczną kontrolą dostępu. Organizacje mogą się przyczynić do zwiększenia bezpieczeństwa poufnych danych poprzez wprowadzenie dwuelementowego uwierzytelniania dostępu do wewnętrznych sieci bezprzewodowych, komputerów biurkowych, domen, portów i aplikacji, wraz z kontrolą dostępu.

Pracownicy często zmieniają role

Zmiana jest w organizacjach czynnikiem stałym. Codziennie zachodzą zmiany zarówno w rolach wewnątrz firmy, jak i grupie podwykonawców i konsultantów. Badania pokazały, że aktualizacje zabezpieczeń często nie dotrzymują kroku zmianom.

• 33% respondentów zdarzyło się po wewnętrznej zmianie stanowiska nadal mieć dostęp do nieużywanych już kont lub zasobów
• 72% respondentów stwierdziło, że w ich firmie/organizacji zatrudniani są pracownicy tymczasowi lub podwykonawcy, których obowiązki wymagają dostępu do kluczowych danych i systemów organizacji
• 23% zdarzyło się wejść do obszaru sieci korporacyjnej, do którego we własnej ocenie nie powinni mieć dostępu.

Dostęp do danych poufnych lub osobowych powinien być udzielany wyłącznie w zakresie niezbędnym do wykonywania powierzonych zadań. Ograniczenie ryzyka ujawnienia danych można osiągnąć wprowadzając dla kluczowych informacji kontrolę dostępu opartą na rolach. Istotne jest przy tym zapewnienie szybkiego uwzględniania zmian ról w uprawnieniach dostępu i objęcie kontrolą również wykonawców zewnętrznych i konsultantów. Organizacje mogą też ograniczać zagrożenia dla informacji poprzez scentralizowane i precyzyjne zarządzanie danymi uwierzytelniającymi pracowników, w tym nazwami logowania/hasłami, hasłami jednorazowymi i certyfikatami cyfrowymi, oraz śledzenie wykorzystania tych danych w celu wykrywania prób nieuprawnionego dostępu.

„Całościowa strategia bezpieczeństwa zorientowana na informację uwzględnia ludzi, procesy i rozwiązania techniczne, a dodatkowo posiada mechanizm przekazywania informacji zwrotnych” – powiedział Christopher Young, wiceprezes i dyrektor grupy bezpieczeństwa tożsamości i dostępu w firmie RSA. „Samo określenie polityki bezpieczeństwa to za mało. Trzeba też rejestrować faktyczne działania użytkowników i porównywać je z przyjętymi zasadami, by zapewnić dopasowanie zabezpieczeń do wymagań działalności”.

Informacje o badaniu
Badanie zostało przeprowadzone za pomocą ankiety na początku listopada 2007 roku wśród pracowników biurowych z firm prywatnych i organizacji rządowych w Bostonie i Waszyngtonie.